奇瑰网

软件破解补丁隐藏窃密木马,毒害全球数百万网民

[复制链接]
#网站管理认证# 奇瑰网社区账号认证  网站管理认证

奇瑰网社区账号认证

用户网龄
3.1年

  我的勋章: 

周年纪念闪耀之星在线达人分享大神

发表于 2020-7-28 21:51:41 | 显示全部楼层 |阅读模式
软件破解补丁隐藏窃密木马,毒害全球数百万网民

本文作者:腾讯电脑管家, 本文转载自:FreeBuf.COM

一、背景

腾讯安全威胁情报中检测到大量用户感染CracxStealer窃密木马,追踪病毒来源发现源于境外某个软件破解补丁下载站(cracx[.]com)。该网站提供下载的平面设计、媒体编辑、Office、大型游戏、系统工具等商业软件破解补丁包内已植入窃密木马,木马运行后会窃取用户浏览器保存的帐号密码、数字加密币的钱包帐号以及其他机密信息,腾讯电脑管家及腾讯T-Sec终端安全管理系统均可查杀该病毒。

1594293793.jpg

根据CracxStealer窃密木马运营者的页面统计数据,该网站单个破解补丁下载次数超过8万次,而该网站提供的常用软件(包括许多大型商业软件)破解补丁有数百种之多,全球受害者可能数百万计。腾讯安全已对该恶意网站进行全站拦截:

1594293808.jpg

CracxStealer窃密木马安装后会搜集各类浏览器的配置文件、数据库、Cookie中保存的账号密码,搜集门罗币、以太币等多种数字加密货币的客户端软件中保存的钱包账号信息,以及获取电脑IP定位、操作系统版本、硬件和软件信息,桌面截屏,然后将所有搜集的敏感信息打包发送至黑客控制的服务器。因病毒的传播网站为cracx[.]com,腾讯安全威胁情报中心将其命名为“CracxStealer窃密木马”。

二、样本分析

我们选择该站提供的一个大型商业软件破解补丁为例进行分析:

CorelDRAW Graphics Suite是一款主要用于设计图形图像的工具,在平面设计行业为设计师们服务的一款功能强大齐全的软件。其官方网站显示,付费使用版本每年费用为399美元,约2600元/年。

1594293831.jpg

网民一般会先从官网下载一个试用版安装,然后在网上搜索注册码或者下载破解工具进行激活。此次感染病毒的用户通过搜索引擎找到网站https[:]//cracx.com并下载了激活程序CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip,下载页面显示该程序已有超过8万次的下载。

1594293846.jpg

该病毒下载站还会在下载页面标明该破解补丁已通过avast、小红伞、卡巴斯基、迈克菲、诺顿等多家国外知名杀毒软件认证,套路和国内某些病毒下载站完全一致。点击“Download Setup + Crack”按钮后,会依次经过以下URL跳转,并最终通过https[:]//filedl7.ga下载文件。

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/ (路径随机生成)

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/ (路径随机生成)

1594293856.jpg

下载得到压缩包CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip Md5: 0083D7942C28E7A252DEA391607917A5,解压后包含以下文件。

1594293868.jpg

使用(P@$$ izz) 44556677.txt中提示的密码44556677对setup_installer.zip进行解压,可以得到NSIS打包的安装包程序setup_installer.exe。

1594293877.jpg

setup_installer.exe是病毒母体,首先通过插件UserInfo.dll获取当前进程用户账户,如果不是Admin,则利用UAC.dll提升到管理员权限。

1594293886.jpg

1594293896.jpg

然后释放窃密木马11.exe、rokger.exe到"$PROGRAMFILES\Lertok\lop\vaw\”目录下并启动,还会执行脚本11.vbs,在其中通过Get请求短链接https[:]//iplogger.org/1yzUq7,短链接在不同的样本中会有所不同,由于目前访问都返回失败,所以暂不清楚此网络请求的目的。

1594293913.jpg

1594293921.jpg

窃密木马部分代码添加了VMP壳进行保护。

1594293931.jpg

窃密木马从浏览器配置文件、数据库文件、Cookie中获取登陆账号密码,支持国内外多款浏览器包括Chrome、Comodo Dragon、Opera、Chromium、CocCoc、360_extreme_explorer 、torch、slimjet、cent_browser、brave 、vivaldi 、ccleaner_browser、avast_secure_browser、Firefox。

1594293941.jpg

搜集门罗币、以太币等数字加密货币的相关客户端软件中保存的钱包信息。

1594293953.jpg

查询本机IP、IP所属位置、运营商属性等信息保存至随机名txt文件,以及操作系统版本、语言环境、当地时间、用户名、CPU、内存、显卡、安装软件列表信息保存至system_info.txt。

1594293963.jpg

1594293971.jpg

拍摄屏幕截图并保存为screenshot.jpg。

1594293982.jpg

将搜集到的所有信息打包为随机名zip压缩包文件,存放至ProgramData目录下。

1594293991.jpg

最后将压缩包数据通过POST发送至远程服务器http[:]//mdpoter03.top/index.php

1594294001.jpg

IOCs

Domain

mdpoter03.top

urep03.top

saytt03.top

URL

https[:]//cracx.com/coreldraw-graphics-suite-2017-full/

https[:]//keepn.site/i-3732/?q=CorelDRAW Graphics Suite 2017 Crack   License Key {Latest}

https[:]//filedl7.ga/jojo-7eaff951136ba916dedc5d52e1861ebd/

https[:]//filedl7.ga/jojo-4207bef9a1449f5c81eb755c5a9fe516/

https[:]//filedl7.ga/jojo-cbb1047df6161c7c17612f88badfe478/

https[:]//filenetwork.info/fs-8024e1c74c8f793b14f13714f1ccdab8/

https[:]//downtech.info/fs-537babb385850dc869fd9bda590d62d5/

http[:]//mdpoter03.top/index.php

http[:]//urep03.top/index.php

http[:]//saytt03.top/index.php

https[:]//iplogger.org/1yzUq7

md5

Any-Video-Converter-Ultimate-6.2.6-Patch-1594260775.zip 52f9748dcef89359bcef1d3e5f2bfd38

RescuePRO-Deluxe-6.0.2.2-Full-Crack-1594260534.zip

7ed9a320c44d119e3d596efa218deab8

ProShow-Producer-9.0.3797-License-Key---Patch-{2020}-Free-Download-1594193035.zip

b366c329bcf624214bdfc23d7bedcb78

CorelDRAW-Graphics-Suite-2017-Crack---License-Key-{Latest}-1594192147.zip

0083d7942c28e7a252dea391607917a5

installer_setup.exe

45ec40f05b5df3e21b6aad950da23bb1

installer_setup.exe

c5e4d08164364790eca5b3e8cf64ff79

installer_setup.exe

ada1ffc753347613cee9bcddac9763a1

installer_setup.exe

29bd44a4ed92568ddf67327ece8ace17

9.exe

d7997aeb03bfa17ae03e6ee85a5afadd

9.exe

e4c1146393fe67ccbb4789eba8db6b31

09.exe

18f235a24f4a7cfd2d0a5db61aac5921

caram.exe

ad8f303e25c56bc0b2c9a36c0ee37a3e

011.exe

b01ea80301d452d6b1337fce7cae4a40

11.exe

59cab6695a858e586be0dc0c3c781f6c

rokger.exe

a73ba165224417ec58fa88158dad6026

010.exe

c3e3127dd3185af88d40aa019c196694

10.exe

3bdef68d720360f362cdeec0463c282a

mertol.exe

8d5135bde449bc826b415043a03ebcce

11.vbs

2ecc0c2e30c22359b0f3e20df9b3af65

10.vbs

6ee3b4ca9f4e22a0d2b5bfbb20b1b322

9.vbs

732d3599f7f4aac60f9d08e487e62bf5



最新资讯,网红爆料,科技资讯,八卦娱乐
用户网龄
2.5年

发表于 2020-7-28 21:54:39 | 显示全部楼层
纯粹路过,没任何兴趣,仅仅是看在老用户份上回复一下
回复

使用道具 举报

发表于 2020-7-28 22:04:26 | 显示全部楼层
谢谢分享,下载下来试试,希望一切好用
回复

使用道具 举报

发表于 2020-7-28 22:09:27 | 显示全部楼层
能不能用
回复

使用道具 举报

发表于 2020-7-28 22:17:23 | 显示全部楼层
不错 支持一个了
回复

使用道具 举报

发表于 2020-7-28 22:23:59 | 显示全部楼层
非常好,顶一下
回复

使用道具 举报

用户网龄
3.1年

发表于 2020-7-28 22:28:07 | 显示全部楼层
为了三千积分!
回复

使用道具 举报

用户网龄
3.1年

发表于 2020-7-28 22:31:16 | 显示全部楼层
新人看看怎么样
回复

使用道具 举报

用户网龄
2.5年

发表于 2020-7-28 22:34:32 | 显示全部楼层
路过的帮顶
回复

使用道具 举报

使用高级回帖 (可批量传图、插入视频等)

发表回复

您需要登录后才可以回帖 登录 | 账号注册   微信登录

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快捷导航
Powered by Discuz! X3.4 ( 粤ICP备20013252号-1
Copyright © 2014-2021 奇瑰网 粤公网安备44130302100219号
快速回复 返回顶部 返回列表